이 글에서는 MS-SQL 로그 및 시스템 로그의 한계에 대응하기 위한 추가적인 로깅을 통한 추적과 침해사고 예방을 위한 몇 가지 보안 설정에 관해 설명한다. 침해사고 대응 및 예방을 위해 각 방안을 비교하여 시스템에 적절한 설정을 적용하는 것을 권고한다. 이 글을 읽기 전 아랫글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석

이 글에서는 CLR Shell 공격에 대한 로그와 아티팩트 분석으로 공격자의 행동과 관련된 정보를 찾아내는 방법에 대해 다룬다. 이 글을 읽기 전 아래 글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석 : 동향 및 공격 방식데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도

최근 몇 년 동안 사이버 공격은 기업과 개인에게 심각한 위협으로 떠올랐다. 특히, MS-SQL 데이터베이스는 공격자들의 주요 목표가 되었다. 이 글에서는 MS-SQL의 시스템 저장 프로시저를 활용한 침해사고에서 발견된 아티팩트를 분석해, 공격자의 행동을 이해하는 것에 중점을 둔다. 공격자들은 이런 기능을 활용해 파일을 다운로드, 실행, 변경, 삭제 등 다양한 행위를 수행할 수 있다.

1. 개요 오늘날 공격자가 시스템에 침투한 뒤 활용한 공격 도구를 삭제하는 행위는 당연시되고 있다. 따라서, 공격자가 시스템에서 파일을 삭제하는 시점을 기록하고 삭제한 파일을 확보할 수 있으면 공격자의 행위를 이해하는 데 더욱 도움이 된다. Sysmon의 파일 삭제 관련 이벤트에서는 삭제된 파일의 Hash 값을 기록하기 때문에 OSINT Tool로 분석해 알려진 공격 도구의

분석 지원하는 메신저 종류 AXIOM에서는 다양한 메신저에 대해 분석을 지원해준다. 분석 지원해주는 메신저의 종류는 "ARTIFACT DETAILS" 내 "COMMUNICATION" 항목에서 확인할 수 있으며, PC 같은 경우는 총 39개의 메신저를, 모바일 같은 경우는 총 57개의 메신저를 분석 지원해준다. 분석 지원하는 메신저 종류는 아래의 표와 같다. * PC * 모바일 AXIOM은 메신저의 암호화된 데이터를 복호화

데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도 보안 취약점이 존재하며 공격 위협에 노출되고 있다. 특히, MS-SQL은 다양한 확장 기능을 제공한다. 이때, 공격에 주로 악용되는 xp_cmdshell과 CLR 저장 프로시저 확장 기능은 보안 문제를 야기할 수 있다. 이에 따라, 공격자들은 이러한 방식을

중앙화 시스템을 사용하는 경우 사용자가 같은 서버에서 서비스를 받기 때문에 시스템을 업데이트하거나, 오류를 수정하더라도 사용자에게 똑같이 적용된다. 하지만 중앙 서버가 없는 블록체인 경우 사용자마다 다운로드 받은 클라이언트 프로그램을 사용해 접속하기 때문에 서로 다른 버전을 사용하는 경우가 생긴다. 강제로 모든 노드를 업그레이드할 수 없기 때문에 새로 생긴 규칙과 이전에 생겼던 규칙

비트코인이 사용되면서 사용자들이 디지털 자산을 소유하고 관리할 수 있게 되었다. 이후 이더리움을 사용하게 되면서 비트코인의 기본 기능에 더해 예금, 대출, 거래소 등 금융 서비스를 탈중앙화된 환경에서 사용자들이 직접 자산을 관리할 수 있는 DeFi 서비스가 탄생하였다. 이 글에서 DeFi 서비스가 무엇인지 살펴보겠다. DeFi란? DeFi는 탈중앙화된 금융(Decentralized Finance)의 약자로 블록체인

1. 개요 2023년 6월 27일 Sysinternals는 블로그를 통해 Sysmon v15.0 업데이트 소식을 알렸다. 해당 업데이트로 Sysmon이 보호된 프로세스로 실행되도록 Protected Process Light(이하 PPL) 기술을 적용하고, 실행 파일이 저장될 때 발생하는 'FileExecutableDetected' 이벤트를 추가했다. PPL은 Windows 8.1/Windows Server 2012 R2부터 도입한 보호 수준 개념으로 관리자 권한이 있더라도